文章总结： 苹果公司紧急修复了两个已遭利用的0day漏洞CVE-2025-43529和CVE-2025-14174，这些漏洞影响多个iOS和iPadOS版本，涉及WebKit的释放后使用远程代码执行和内存损坏问题。谷歌也修复了相关的Chrome0day漏洞。苹果已在OS26.2、iOS18.7.3等多个系统中修复这些漏洞，建议用户及时安装最新安全更新以减少风险。自2025年初以来，苹果已修复7个0day漏洞。 综合评分： 75 文章分类： 漏洞分析,漏洞预警,安全大事件,WEB安全,移动安全

苹果紧急修复两个已遭利用的 0day 漏洞

Lawrence Abrams

代码卫士

2025年12月15日 18:37 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

苹果公司紧急修复了被用于“极其复杂攻击活动”中的两个 0day 漏洞CVE-2025-43529和CVE-2025-14174。

苹果公司发布安全通告提到，漏洞利用“针对 iOS 26 之前的 iOS 版本用户”。CVE-2025-43529是一个位于 WebKit 中的释放后使用远程代码执行漏洞，可通过处理恶意构造的 web 内容遭利用，由谷歌威胁分析团队发现。CVE-2025-14174是一个 WebKit 内存损坏漏洞，可导致内存损坏，由苹果和谷歌的威胁分析团队发现。

受这两个漏洞影响的设备包括：

• iPhone 11 及后续版本
• iPad Pro 12.9英寸（第3代及后续版本）
• iPad Pro 11英寸（第1代及后续版本）
• iPad Air（第3代及后续版本）
• iPad（第8代及后续版本）
• iPad mini（第5代及后续版本）

苹果公司已在 OS 26.2和 iPadOS 26.2、iOS 18.7.3和iPadOS 18.7.3、macOS Tahoe 26.2、tvOS 26.2、watchOS 26.2、visionOS 26.2和Safari 26.2中修复这些漏洞。

上周三，谷歌修复了一个神秘的 Chrome 0day 漏洞，最初将其标记为高危级别并表示“正在协调中”。不过，目前谷歌已更新该安全公告，提到该漏洞编号是CVE-2025-14174即位于 ANGLE 中的越界内存访问漏洞，与苹果修复的CVE编号一致，表明两家公司已经协同披露。

苹果只是提到遭利用攻击的个人运行 iOS 26 之前的版本，并未提到相关技术详情。由于这两个漏洞均影响 WebKit，而谷歌 Chrome 在 iOS 上使用它，因此攻击活动符合高针对性的间谍攻击特征。虽然这些漏洞仅用于针对性攻击中，但强烈建议用户及时安装最新安全更新，以减少利用风险。

从 2025年年初开始，苹果公司已修复7个 0day 漏洞，其它5个包括CVE-2025-24085、CVE-2025-24200、CVE-2025-24201、CVE-2025-31200和CVE-2025-31201。今年9月份，苹果还将0day漏洞CVE-2025-43300的修复方案向后兼容到运行 iOS 15.8.5/16.7.2以及iPad 15.8.5/16.7.12的老旧设备上。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

苹果紧急修复已遭利用的新 0day

苹果紧急修复已遭利用的两个0day

苹果紧急修复被用于“极其复杂”攻击中的0day漏洞

谷歌紧急修复已遭利用的 Chrome 新 0day，无CVE编号

CISA要求政府机构在7天内修复这个 Fortinet 新0day

原文链接

https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-day-flaws-exploited-in-sophisticated-attacks/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

查看原文：《苹果紧急修复两个已遭利用的 0day 漏洞》